CVE-2026-39882

描述

OpenTelemetry-Go is the Go implementation of OpenTelemetry. Prior to 1.43.0, the otlp HTTP exporters (traces/metrics/logs) read the full HTTP response body into an in-memory bytes.Buffer without a size cap. This is exploitable for memory exhaustion when the configured collector endpoint is attacker-controlled (or a network attacker can mitm the exporter connection). This vulnerability is fixed in 1.43.0.

如何修補 CVE-2026-39882

要修補 CVE-2026-39882,請將受影響套件升級到下列已修補版本。

—未列出修補版本
—升級至 0.19.0 或更新版本
—升級至 0.19.0 或更新版本
—升級至 1.43.0 或更新版本
—升級至 1.43.0 或更新版本
—升級至 1.43.0 或更新版本
—升級至 1.43.0 或更新版本

CVE-2026-39882 正在被利用嗎?

低 — EPSS 為 0.0%,目前沒有觀察到大規模利用活動。

受影響套件(7)

from 0
from 0, < 0.19.0
from 0, < 0.19.0
from 0, < 1.43.0
from 0, < 1.43.0
from 0, < 1.43.0
from 0, < 1.43.0

CVSS 分數

來源	版本	嚴重程度	向量
osv	CVSS 3.1	MEDIUM5.3	CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H

描述

如何修補 CVE-2026-39882

CVE-2026-39882 正在被利用嗎?

受影響套件(7)

CVSS 分數

參考連結(6)